Databehandleravtale

Merk! Det følgende er kun en forhåndsvisning av Databehandleravtalen. Din Databehandleravtale finner du i butikkens kontrollpanel.

Mellom Quickbutik AB med organisasjonsnummer 556980-9105 og adresse Vasatorpsvägen 1, 25457 Helsingborg heretter under benevnelsen "Databehandler" og {{customer.company_name}} med organisasjonsnummer {{customer.company_orgnr}} og adresse {{customer.address}}, {{customer.zipcode}} {{customer.city}} heretter under benevnelsen "Behandlingsansvarlig" og samlet benevnt "Partene" har følgende avtale blitt inngått.

Vedlegg

Avtalen består av dette hoveddokumentet og følgende vedlegg:

Vedlegg 1 - Informasjon om lagring, underleverandører og ansvar

I tilfelle innholdet i dokumentene ikke stemmer overens, har hoveddokumentet fortrinnsrett for vedlegget.

Definisjoner

I den utstrekning Europaparlamentets- og rådsforordning (EU) 2016/679, heretter kalt personvernforordningen, inneholder begrep som tilsvarer dem som brukes i Avtalen skal slike begrep tolkes og tillempes i samsvar med personvernforordningen.

I Avtalen skal de angitte begrepene nedenfor ha følgende betydelse:

Med Avtalen avses dette hoveddokumentet og til enhver tid gjeldende vedlegg.

Med Behandling avses et tiltak eller kombinasjon av tiltak som angår personopplysninger eller oppsetninger av personopplysninger, uavhengig av om de utføres automatisk eller ikke, som for eksempel innsamling, registrering, organisering, strukturering, lagring, behandling eller endring, utvikling, lesing, bruk, utlevering eller på noen annen måte, justering eller sammenføring, begrensning, sletting eller ødeleggelse.

Med Personopplysninger avses all informasjon som omfatter en identifisert eller identifiserbar fysisk person, der en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres særskilt med henvisning til en identifikator, for eksempel et navn, et identifikasjonsnummer, et lokaliseringsnummer, et stedsdata eller online identifikatorer eller en eller flere faktorer som er spesifikke for den fysiske personens fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Med Personopplysningsbrudd refererer til en sikkerhetshendelse som fører til utilsiktet eller ulovlig ødeleggelse, tap eller endring eller til uautorisert avsløring av eller uautorisert tilgang til de personopplysningene som har blitt overført, lagret eller på noen annen måte behandlet.

Med Gjeldende bestemmelser avses bestemmelser og praksis som sikter til personvernforordningen, nasjonal tilleggslov til personvernforordningen, tilsynsmyndigheter inkl. Det Europeiske Databeskyttelsesrådets forskrifter og ytringer og kommisjonens lover innom personopplysningsområde.

1. Formål

Databehandler har gjennom Avtalen påtatt seg å behandle personopplysninger for Behandlingsansvarlig sin regning. Partene er enige om å regulere omfanget og den nærmere utformingen av behandlingen gjennom opprettelsen av Avtalen.

2. Behandlingsansvarliges plikter

2.1.1 Behandling i samsvar med Gjeldende bestemmelser

Behandlingsansvarlig er ansvarlig for at all behandling av personopplysninger skjer i samsvar med Avtalen og Gjeldende bestemmelser.

2.1.2 Behandling i samsvar med Avtalen og Gjeldende bestemmelser

Behandlingsansvarlig skal providere Databehandler med den informasjonen og de personopplysningene som er nødvendige og er hensiktsmessige for at denne skal kunne oppfylle sine forpliktelser i henhold til Avtalen og Gjeldende bestemmelser.

2.1.3 Riktige opplysninger

Behandlingsansvarlig skal umiddelbart levere Databehandler korrekte opplysninger ved tilfeller av at de dokumenterte instruksjonene er feilaktige, ufullstendige eller i øvrig behøver endres.

2.2 Dokumenterte instruksjoner

Behandlingsansvarlig skal providere Databehandler dokumenterte instruksjoner. Disse skal bland annet, men ikke utelukkende, regulere hvilke personopplysninger som skal behandles, formålet for behandlingen, behandlingens varighet og omfang, art og endemål, typen av personopplysninger og kategorier av registrerte, Behandlingsansvarlig og Databehandleren sine plikter og rettigheter samt omfanget av beskyttelsestiltak og øvrige IT- og sikkerhetsrelatert forpliktelser. Behandlingsansvarlig skal providere all informasjon som er nødvendig for at Databehandleren skal kunne oppfylle sine kontraktlige forpliktelser med Behandlingsansvarlig. De dokumenterte instruksjonene er vedlagt Avtalen, se vedlegg 1.

3. Databehandlerens ansvarsområder

3.1.1 Behandling i samsvar med Avtalen og Gjeldende bestemmelser

Databehandler skal kun behandle personopplysninger for Behandlingsansvarlig sin regning i samsvar med Avtalen og Gjeldende bestemmelser. Databehandler kan ikke, uten samtykke fra Behandlingsansvarlig, pålegg fra relevant myndighet eller tvingende lovgivning • Samle inn eller utlevere personopplysninger fra eller til en tredjepart med mindre annet skriftligt er avtalt • Endre metode for behandling, • kopiere eller gjenskape personopplysninger eller • på noen måte behandle personopplysninger for andre formål enn dem som angis i de dokumenterende instruksjonene

3.1.2 Overføring av personopplysninger

Databehandler kan ikke overføre noen personopplysninger til en stat utenfor EU-området eller til en stat som ikke omfattes av unntakene til forbudet mot overføring til tredje land i følge Gjeldende bestemmelser. Forbudet omfatter også service, teknisk support, utvikling og likende tjenester av systemet.

3.1.3 Skriftlig samtykke ved overføring

En overføring som ikke omfattes av ovennevnte, krever skriftlig samtykke fra Behandlingsansvarlig og en forsikring om at en slik overføring skjer i samsvar med Gjeldende bestemmelser.

3.1.4 Gjennomføring av forandringer

Databehandler skal gjennomføre endringer, sletting, begrensninger og overføringer ved Behandlingsansvarlig konkrete forespørsel, dog ikke om en slik forespørsel strider mot Avtalen eller Gjeldende bestemmelser.

3.2.1 Vedta tekniske og organisatoriske tiltak

Tatt i betraktning av den seneste utviklingen, gjennomføringskostnadene og behandlingens art, omfattning, sammenheng og formål samt risikoene, av varierende sannsynlighetsnivå og alvor, for fysiske personers rettigheter og friheter skal Databehandler ta passende tekniske og organisatoriske tiltak for å sikre et passende sikkerhetsnivå som er passende i forhold til risikoen for omfattningen, når det er aktuelt, • pseudonymisering og kryptering av personopplysninger • evnen til kontinuerlig sikre konfidensialitet, integritet, tilgjengelighet og motstandskraft hos behandlingssystemet og tjenestene, • evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rimelig tid ved en fysisk eller teknisk hendelse, • en prosedyre for regelmessig teste, undersøke og evaluere effektiviteten hos de tekniske og organisatoriske tiltakene som skal sikre behandlingens sikkerhet.

3.2.2 Adferdskodeks og sertifiseringsmekanisme

Gjennom en anslutning til en godkjent atferdskodeks eller godkjent sertifiseringsmekanisme, kan Databehandleren vise ovennevnte forpliktelser overholdes.

3.3.1 Opprette en fortegnelse

Databehandler skal føre en fortegnelse over alle kategorier av behandling som utføres for Behandlingsansvarlig regning, som omfatter følgende: • Navn og kontaktopplysninger for Databehandler og Behandlingsansvarlig for hver regning Databehandleren agerer, og hvis det er aktuelt, for Behandlingsansvarlig eller Databehandleren foretreder samt personvernforordningen. • De kategoriene for behandling som har blitt utført for Behandlingsansvarlig regning. • Ved aktuelle tilfeller, overføringer av personopplysninger til et tredjeland eller en internasjonal organisasjon, inkludert identifikasjon av tredjelandet eller den internasjonale organisasjonen og dokumentasjonen av aktuelle sikkerhetstiltak. • Hvis mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene.

3.3.2 Skriftlig fortegnelse

Databehandler skal opprette fortegnelser skriftlig, inkludert i elektronisk format.

3.4 Opplysningsplikt

Databehandler skal uten unødig opphold varsle Behandlingsansvarlig ved tilfeller der behandling av personopplysninger er i strid mot Avtalen, Personvernforordningen eller annen lovgivning. Databehandler skal deretter avvente instruksjoner fra Behandlingsansvarlig.

3.5.1 Utlevering av personopplysninger

Databehandler kan ikke utlevere personopplysninger eller informasjon om behandlingen av personopplysninger uten forhåndsgodkjenning fra Behandlingsansvarlig, med mindre det er gitt en ordre fra en relevant myndighet eller om Databehandleren er forpliktet til å gjøre det i følge Gjeldende bestemmelser.

3.5.2 Opplysningsplikt av personopplysninger

Databehandler skal varsle Behandlingsansvarlig uten unødig opphold hvis Databehandleren kontaktes av behørig myndighet, registrert eller tredjepart med formål om å få tilgang til personopplysninger som Databehandleren behandler.

3.6.1 Kontroll av samsvar

Behandlingsansvarlig har rett til, på egen hånd eller gjennom en tredjepart, gjennomføre revisjon av Databehandler eller på en annen måte kontrollere at Databehandleren sin behandling av personopplysninger følger Avtalen og Gjeldende bestemmelser. Ved en slik revisjon eller kontroll skal Databehandleren gi Behandlingsansvarlig den assistansen som er nødvendig for å utføre revisjonen.

3.6.2 Vise samsvar av Avtalen og Gjeldende bestemmelser

Databehandler skal på begjæring og uten unødig opphold vise at forpliktelsene i følge Avtalen og Gjeldende bestemmelser etterleves. Dette innebærer bland annet, men ikke utelukkende, en forpliktelse å levere dokumentasjon, ved forekommende tilfeller vise at godkjente atferdskodekser eller sertifiseringer, og å oppfylle samt muliggjøre og bidra til at Behandlingsansvarlig kan utføre nødvendige granskninger og inspeksjoner.

3.6.3 Tilgang til personopplysninger

Databehandler skal gi Behandlingsansvarlig tilgang til alle de personopplysningene som Databehandleren behandler for Behandlingsansvarlige regning. Dette innebærer også tilgang til opplysninger og handlinger som Behandlingsansvarlige behøver for å utøve kontroll over Databehandlerens samsvar av Avtalen og Gjeldende bestemmelser. En slik tilgang skal skje uten urimelig forsinkelse, men seneste 20 dager fra Behandlingsansvarligens uttrykkelige og skriftlige forespørsel.

3.7.1 Evaluere risikoer

Databehandleren skal evaluere risikoene med behandlingen og iverksette tiltak, som for eksempel kryptering, for å redusere dem. Tiltakene bør sikre en passende sikkerhetsnivå, inkludert konfidensialitet, med hensyn til den seneste utviklingen og gjennomføringskostnadene i forhold til risikoen og hvilken type av personopplysninger som skal beskyttes.

3.7.2 Vedta sikkerhetstiltak

Databehandleren skal vedta tiltak for å sikre at hver fysisk person og juridisk person som utfører arbeid under Databehandlerens oppsyn, og som får tilgang til personopplysninger, kun behandler disse etter instruksjon fra Behandlingsansvarlig.

3.7.3 Tilstrekkelig kunnskap og opplæring

Databehandleren er ansvarlig for at hver fysiske person som har tilgang til personopplysningene som behandles i henhold til Avtalen, har tilstrekkelig kunnskap og opplæring til behandle personopplysningene på en sikker og hensiktsmessig måte.

3.7.4 Forandringer av personopplysningsbehandling

Om Databehandleren avser å gjennomføre forandringer av hvordan personopplysninger behandles eller i forøvrig gjennomføre forandringer som kan påvirke sikkerheten for de registrerte, de registertes rettigheter eller samsvar av Avtalen eller gjeldende lov, skal Databehandleren skriftlig informere Behandlingsansvarlig på forhånd. Behandlingsansvarlig skal gi samtykke til slike forandringer.

3.7.5 Sekretesse og taushetsplikt

Databehandleren forplikter seg til å behandle personopplysninger og annen informasjon som er relatert til Avtalen i enlighet med gjeldende sekretesselovgivning. Personalet som behandler personopplysninger har inngått særskilte sekretesseforbindelser samt blitt informert om at taushetsplikten foreligger i henhold til avtale eller nasjonal lov.

3.7.6 Endemålstjenlige taushetsplikt

Databehandleren skal sikre at samtlige ansatte, konsulter og øvrige som Databehandleren er ansvarlig for og som behandler personopplysninger er bundet av en endemålstjenlig sekretesseansvar samt at de er informerte om hvordan behandlingen av personopplysningene kan behandles.

3.7.7 Informasjon til personer med tilgang

Databehandleren er ansvarlig for å sikre at personene som har tilgang til personopplysningene er informerte om hvordan de får behandle personopplysningene i samsvar med de dokumenterte instruksjonene fra Behandlingsansvarlig. Databehandleren skal også sørge for tilstrekkelig autorisasjonskontroll.

3.8.1 Vedta skadereduserende tiltak

Ved en mistenkt eller oppdaget personopplysningsbrudd skal Databehandleren umiddelbart undersøke hendelsen og vedta passende tiltak for å dempe dens potensielle negative effekter.

3.8.2 Beskrivelse av personopplysningsbruddet

Hvis Behandlingsansvarlig ber om det, skal en beskrivelse av personopplysningsbruddet leveres til Behandlingsansvarlig innom 72 timer. En slik beskrivelse må inneholde • beskrive personopplysningsbruddets art, omfattning, om mulig, de kategorier av og omtrentlig antall registrerte som berøres samt de kategoriene av og det omtrentlige antall personopplysningsposter som berøres, • oppgi navnet og kontaktopplysninger for Personvernombudet eller andre kontaktpunkter der mer informasjon kan fås, • beskrive de sannsynlige konsekvensene av personopplysningsbruddet, og • beskrive de tiltakene som Databehandleren har vedtatt eller foreslått for å rette opp i personopplysningsbruddet, inkludert, der det er hensiktsmessig, tiltak for å dempe dens potensielle negative effekter. Om og i den grad det ikke er mulig å overlevere informasjonen samtidig, kan informasjonen gis i omganger uten unødig ytterligere forsinkelse.

3.8.3 Bistå med skyldigheter angående personopplysningsbrudd

Databehandleren skal bistå Behandlingsansvarlig med å sikre at dens skylder i henhold til Gjeldende bestemmelser om personopplysningsbrudd fullføres, med at det tas hensyn til typen av behandling og informasjonen som Databehandleren har tilgjengelig. Dette gjelder også om Behandlingsansvarlig mistenker eller oppdager et personopplysningsbrudd.

3.8.4 Varsel om personopplysningsbrudd

Databehandler skal varsle Behandlingsansvarlig uten unødig opphold, dog senest innom 30 timer, etter å ha fått kjennskap til et personopplysningsbrudd.

3.8.5 Informasjon om personopplysningsbrudd

Et varsel beskrevet ovenfor skal inneholde den informasjon som Behandlingsansvarlig trenger for å oppfylle sine forpliktelser overfor datatilsynet.

3.8.6 Uvilkårlig varslingsplikt

Ovennevnte varslingsplikt til Behandlingsansvarlig gjelder også om Databehandleren av en annen anledning ikke kan oppfylle forpliktelsene i henhold til Avtalen eller de dokumenterte instruksjonene, alternativt får kjennskap om at personopplysninger har blitt behandlet i strid med Avtalen.

3.9.1 Konsekvensbedømmelser og forhåndssamråd

Databehandler skal ved behov og om nødvendig bistå Behandlingsansvarlig med fullføring av de forpliktelser som denne har og som har fra bestemmelsene i Personvernforordningen angående utførelse av konsekvensbedømmelser vedrørende databeskyttelse og forhåndssamråd med datatilsynet.

3.9.2 Fullførelse av forpliktelser angående den registrerte sine rettigheter

Databehandler skal ved behov og ved forespørsel bistå Behandlingsansvarlig gjennom aktuelle tekniske tiltak, i den grad dette er mulig, slik at Behandlingsansvarlig kan fullføre pliktene sine til å svare på forespørsler om utøvelse av den registertes rettigheter i henhold til Personvernforordningen.

4. Databehandlerens ansettelse av Underleverandører

4.1 Skriftlig tillatelse til å ansette Underleverandør

Behandlingsansvarlig godkjenner Databehandlerens ansettelse av Underleverandør i henhold til Vedlegg 1, punkt 2. Databehandleren kan ikke ansette en annen Databehandler (underleverandør) uten at et særskilt eller generelt skriftligt forhåndstillatelse er gitt av Behandlingsansvarlig.

4.2 Allmenn skriftlig tillatelse

Hvis en generell skriftlig tilstand har blitt fremskaffet, skal Databehandleren informere Behandlingsansvarlig om eventuelle planer om å ansette nye underleverandør for personopplysninger eller erstatning av underleverandører, slik at Behandlingsansvarlig har mulighet til å gjøre innvendinger mot slike forandringer.

4.3 Risikofordeling

Databehandlerens ansettelse av Underleverandør skjer på egen risiko. Dette medfører ingen forandring av den ansvarsfordelingen som gjelder mellom Partene i følge Avtalen.

4.4 Tilstrekkelig beskyttelsesnivå

Hvis Behandlingsansvarlig godkjenner Databehandleren sin søknad om ansettelse av Underleverandør skal Databehandleren vedta de tiltakene som kreves for å sikre at Underleverandøren opprettholder et tilstrekkelig beskyttelsesnivå for de personopplysningene som behandles samt i øvrig følger aktuelle deler av Avtalen og gjeldende personvernlovgivning.

4.5 Varsel om ansettelse eller bytting av Underleverandør

Databehandler skal, før tiltak vedtas og under forutsetning om å søke om Underleverandør godkjennes av Behandlingsansvarlig, informere om ansettelsen eller bytting av Underleverandør. Behandlingsansvarlig skal ha mulighet til å komme med innvendinger mot Databehandlerens forslag om forandring. En slik innvending utgjør en hindring for Databehandleren i å gjennomføre den foreslåtte forandringen.

5. Ansvar for skade

5.1 Databehandlerens ansvar

Databehandler skal i forhold til Behandlingsansvarlig være ansvarlig for skade som oppstår ved behandling av personopplysninger kun om denne ikke har fullført de forpliktelser i henhold til Gjeldende bestemmelser som spesifikt er rettet til Databehandleren eller opptrådt utenfor eller i strid med Avtalen. Databehandler skal unngå ansvar i følge ovenfor om det viser at det ikke på noen måte er ansvarlig for hendelsen som har forårsaket skaden.

5.2 Behandlingsansvarliges ansvar

Behandlingsansvarlig skal kompensere Databehandler for de kravene som er rettet mot Databehandler, forutsatt at kravet er basert på Behandlingsansvarliges mangelfulle eller feilaktige instruksjoner til Databehandleren.

6. Avtalens varighet samt endringer i Avtalen

6.1 Varighet

Avtalen gjelder fra den er signert av Partene og under den tiden Databehandleren behandler personopplysninger i samsvar med Behandlingsansvarlige instruksjoner.

6.2 Tilbakelevering eller sletting av personopplysninger

Etter at behandlingen på vegne av Behandlingsansvarlige er avsluttet, skal Databehandleren tilbakelevere eller slette personopplysningene, med mindre lagring av personopplysningene er lovpålagt som Databehandleren omfattes av. Hvis personopplysningene skal tilbakeleveres skal det skje uten unødig opphold og i et allment og lesbart elektronisk format.

6.3 Behandlingsansvarlig sin rett til å foreta endringer

Behandlingsansvarlig får kun foreta endringer i Avtalen i den grad det trengs for å overholde gjeldende lov.

6.4 Endring av avtalen

En endring i Avtalen trer i kraft 30 dager etter at opplysningen om endring er mottatt av Databehandler.

6.5 Databehandlerens rett til å foreta endringer

Databehandleren har ingen rett til å kreve endringer i Avtalen om det ikke er nødvendig for å overholde gjeldende lov.

6.6 Samtykke ved nye typer av behandlinger

Ved tilfeller Behandlingsansvarlig har til hensikt å utvide Databehandler behandling av personopplysninger til å avse nye typer av behandlinger, krever dette Databehandlerens uttrykkelige samtykke.

7. Varslinger

7.1 Skriftlige varsler

Varselinger og meldinger i samsvar med Avtalen skal skje skriftlig. Opplysninger skal sendes til kontaktpersoner nevnt nedenfor.

Behandlingsansvarlig

{{customer.company_name}}

{{customer.firstname}} {{customer.lastname}}

{{customer.address}}, {{customer.zipcode}} {{customer.city}}

Databehandler

Quickbutik AB

Azddin Benberkan

Vasatorpsvägen 1, 254 57 Helsingborg

7.2 Skriftlig anmeldelse av personopplysningsbrudd

Personopplysningsbrudd skal alltid anmeldes via e-post til e-postadressen gdpr@quickbutik.com.

8. Tvist

8.1 Tolkning og anvendelse

Avtalen skal tolkes og anvendes i samsvar med norsk lov. Tvist om tolkning eller anvendelse av Avtalen skal løses ved en allmen domstol i Norge, forutsatt at ingen annen myndighet eller domstol i annen jurisdiksjon har ekslusiv rett til å løse tvisten.

9. Underskrifter

For at denne avtalen skal gjelde, kreves det at en med signaturrett for {{customer.company_name}}, {{customer.company_orgnr}} samtykker avtalen.

Behandlingsansvarlig

{{customer.firstname}} {{customer.lastname}}, {{customer.company_name}} {{customer.company_orgnr}}

Databehandler

VD på Quickbutik AB, Azddin Benberkan